Çalışan işlemle PID ilişkilendirmesini içeren bazı Windows günlükleri var mı
Varsayılan olarak böyle bir günlük yoktur. Ancak, İşlem İzleme Olaylarını Windows Güvenlik Olay Günlüğü'nde etkinleştirebilirsiniz.
Notlar:
Windows Güvenlik Günlüğünde İşlem İzleme Olayları Nasıl Kullanılır
Windows 2003 / XP'de bu olayları yalnızca İşlem İzleme denetim ilkesini etkinleştirerek alırsınız.
Windows 7/2008 + 'da, Grup İlkesi nesnelerinde Gelişmiş Denetim İlkesi Yapılandırması altında bulacağınız Denetim Süreci Oluşturma ve isteğe bağlı olarak Denetim Süreci Sonlandırma alt kategorilerini etkinleştirmeniz gerekir.
Bu olaylar inanılmaz derecede değerlidir, çünkü sistemdeki herhangi bir yürütülebilir dosya bir işlem olarak başlatıldığında kapsamlı bir denetim izi sağlarlar. Her iki olayda bulunan İşlem Kimliğini kullanarak işlem oluşturma olayını işlem sonlandırma olayına bağlayarak sürecin ne kadar sürdüğünü bile belirleyebilirsiniz. Her iki olaya ilişkin örnekler aşağıda gösterilmiştir.
Kaynak Windows Güvenlik Günlüğünde İşlem İzleme Olaylarını Kullanma
Denetim Süreci Oluşturma nasıl etkinleştirilir
Gpedit.msc dosyasını çalıştırın
"Windows Ayarları"> "Güvenlik Ayarları"> "Yerel İlkeler"> "Denetim İlkesi" ni seçin
"Denetim takibi" ni sağ tıklayın ve "Özellikler" i seçin
"Başarılı" seçeneğini işaretleyin ve "Tamam" ı tıklayın
Denetim Süreci Takibi nedir
Bu güvenlik ayarı, işletim sisteminin süreç oluşturma, işlem sonlandırma, tanıtıcı çoğaltma ve dolaylı nesne erişimi gibi süreçle ilgili olayları denetleyip denetlemediğini belirler.
Bu ilke ayarı tanımlanmışsa, yönetici yalnızca başarıların, yalnızca başarısızlıkların, hem başarıların hem de başarısızlıkların denetlenip denetlenmeyeceğini ya da bu olayların hiç denetlenmeyeceğini (örneğin, ne başarılar ne de başarısızlıklar) belirleyebilir.
Başarı denetimi etkinleştirilirse, işletim sistemi bu işlemle ilgili etkinliklerden birini her gerçekleştirdiğinde bir denetim girişi oluşturulur.
Hata denetimi etkinse, işletim sistemi bu etkinliklerden birini gerçekleştiremediğinde bir denetim girişi oluşturulur.
Varsayılan: Denetim yok
Önemli: Denetim ilkeleri üzerinde daha fazla denetim için, Gelişmiş Denetim İlkesi Yapılandırma düğümündeki ayarları kullanın. Gelişmiş Denetim İlkesi Yapılandırması hakkında daha fazla bilgi için, bkz.
Http://go.microsoft.com/fwlink/?LinkId=140969 .